Свежий номер №24 (401)  / Издержки энтузиазма
 
Дата публикации: 26.06.2001

Максим Отставнов, maksim@otstavnov.com

Антивирусная индустрия - одна из очевидно успешных хайтек-областей в нашей стране, и в ней много светлых голов и золотых рук. Разговаривать с вирусологами всегда интересно 1, а вот поток новостей от них идет на удивление однообразный: поймали еще одну заразу, поставили антивирус еще одному провайдеру…

Дальше моей любимой рубрики «Каналы» это не идет. Благополучная отрасль - это скучно, и - побольше бы было таких скучных отраслей.

Вот и на очередное мероприятие «Лаборатории Касперского» я не пошел, но, пользуясь поводом, задал ньюсмейкерам три скользких вопроса, накопившихся у нас и наших читателей в течение достаточно длительного времени. На вопросы ответил сам Евгений Касперский, занимающий в бизнесе своего имени, если верить визитной карточке, должность лаборанта 2.

Из трех ответов мне очень понравились два последних.

Я, при всем понимании и симпатии, не могу не прокомментировать первый, потому что не могу согласиться с тем, что защита от «Интернет-вирусов» (и любого другого зловредного кода) должна производится на уровне провайдера доступа в Internet.

Во-первых, не факт, что телематические услуги (например, поддержка ящиков электронной почты) у ISP (провайдера доступа) - хороший вариант для пользователя (по моему опыту - обычно плохой, если эти сервисы критичны для работы или жизнедеятельности пользователя).

Во-вторых, вредоносность зловредного кода - штука весьма и весьма условная: вирусу мало распространиться, ему надо еще попасть в благоприятную среду, чтобы нанести вред. А для этого должно совпасть немало факторов:

  • целевая платформа (например, пользователи «решений Microsoft» образуют очевидную группу риска, как из-за уязвимости архитектуры и реализации, так и благодаря огромной пользовательской базе [«монокультуре»], делающей эту целевую платформу крайне привлекательной для вирусописателей);

  • культура пользователя (случайные пользователи компьютера подвержены гораздо большему риску, чем опытные или те, кто хоть когда-нибудь и как-нибудь учился);

  • собственная политика безопасности в части распределения полномочий (если она хоть сколько-нибудь грамотно прописана, даже «выстреливший» зловредный код много вреда не причинит) и резервного копирования;

  • собственная антивирусная политика или ее отсутствие (базы данных современных антивирусов обновляются очень быстро).

И, на мой взгляд, отказ от локальной проверки вложений в пользу проверки их на pop-сервере - чреват прорывом защиты.

Первый приходящий в голову пример: гипотетический вирус, атакующий почтовый клиент, шифрующий свою копию открытыми ключами (которые найдет на локальной связке или общедоступном сервере) и рассылающий ее владельцам этих ключей, будет неуязвим для любой серверной антивирусной политики, но легко может быть отловлен локально, если локальная политика адекватна (проверка исполняемого кода перед [первым] запуском).

Повторяю: пример гипотетический, я вирусными новостями не слишком интересуюсь и не знаю, приходило ли такое в голову вирусописателям.

Могу сказать, что за десять лет интенсивного «домашнего» и делового использования компьютеров (причем дома, где протекает большая часть деятельности, - без активной антивирусной политики) набрал огромную «коллекцию» вирусов, но реально пострадал лишь один раз (OneHalf подкрался незаметно), причем по собственной небрежности. За то же время я, наверное, сотни раз страдал от ошибок авторов другого (предположительно не «вредоносного») кода и от собственных операторских ошибок (самый «зловредный» код - в голове).

Я это не к тому, что антивирусная защита не нужна. Нужна, нужна и еще раз нужна. И не к тому, что провайдерам телематики (в том числе и ISP) не нужно этим заниматься. Нужно, раз услуга востребована (а она востребована). И если больше нечем заняться.

Я к тому, что суждение Касперского «„Нравится/не нравится” в случае проверки электронной почты - все равно что требовать в аэропорту отмены проверки багажа и личного досмотра» - очевидная передержка. Багаж досматривают на предмет взрывчатых или ядовитых веществ, а «вирусы», «трояны» и прочую гадость, давить которую Касперский выбрал делом своей жизни, все же больше похожи на аллергены, которые, будучи надлежащим образом упакованы - а передача приложений и вложений электронной почты, без сомнения, достаточно хорошая упаковка, - никакого вреда прочим «пассажирам» принести не могут.

Дело же телематика - предоставлять сервисы. Услуги электронной почты (насколько я их понимаю и за которые плачу провайдеру телематики) заключаются в том, чтобы по возможности быстро передать послание без искажений. Можете связать этот сервис с дополнительным (будь то антивирусная проверка или что угодно) - отлично, но не нужно дополнительную услугу навязывать.

Я надеюсь, телематики меня поймут, и если мне посчастливиться встретить неизвестный науке компьютерной вирусологии новый штамм, и я захочу подарить образец знакомому лаборанту, препятствий с их стороны я не встречу.

[i40141]


1 (обратно к тексту) - Даже слишком интересно: как-то я пришел в «Лабораторию Касперского» и мне устроили обзорную экскурсию и рассказали столько, что я месяц упаковывал это в интервью хоть сколько-нибудь приличного размера.
2 (обратно к тексту) - Лат. laborant - работающий, работник, рабочий.


Максим Отставнов
maksim@otstavnov.com
 


<<  100 долларов
Все материалы номера
Евгений Касперский: "Мы не пойдем на закулисные соглашения"  >>